Хакеры приготовили крупную атаку на кластеры Kubernetes для скрытого майнинга Monero

Хакеры приготовили крупную атаку на кластеры Kubernetes для скрытого майнинга Monero

Исследователи Unit 42 обнаружили новое вредоносное ПО для скрытого майнинга Monero, которое распространяется в контейнерных приложениях на базе Kubernetes.

Read our analysis of Hildegard, new TeamTNT malware that targets #Kubernetes clusters and launches #cryptojacking operations. https://t.co/a6UAE1FcwF pic.twitter.com/aiJYlnK3v3— Unit 42 (@Unit42_Intel) February 4, 2021

Изначально злоумышленники проникли в систему через неправильно настроенный kubelet, разрешающий анонимный доступ. После чего программа начала заражать узлы сервисов, маскируя процессы под именем Linux (bioset), внедряя библиотеки на основе LD_PRELOAD и шифруя данные внутри двоичного файла.

Скрипты для скрытого майнинга Hildegard распространяются с первой половины января, но до сих пор были практически неактивны. Поэтому исследователи предполагают, что кампания хакеров находится на стадии разведки и развертывания.

«У нас есть веские основания полагать, что группа скоро начнет широкомасштабную атаку. Вредоносная программа может использовать вычислительные ресурсы в средах Kubernetes для скрытого майнинга и потенциально извлекать конфиденциальные данные из тысяч приложений в кластерах», – отметили в Unit 42.

Сейчас вредонос имеет мощность хеширования около 25,05 kH/s, а в кошельке хакеров находится 11 XMR (более $1600 на момент написания).

Команда Unit 42 предполагает, что за разработкой скриптов стоит группа хакеров TeamTNT, ответственная за ботнет для скрытого майнинга Monero, заразивший миллионы IP-адресов, и запуск червя для кражи информации об учетных записях Amazon Web Services.

Ранее хакерская группировка Rocke атаковала необновленные облачные сервера Apache, Oracle и Redis с помощью вредоносного ПО Pro-Ocean для скрытого майнинга криптовалют.

Source

Subscribe to get our top stories